Désérialisation Non Sécurisée

Selon un avis de sécurité GitHub (dépôt QwikDev/qwik) publié le 2 mars 2026, le package npm @builder.io/qwik est affecté par une faille critique permettant une exécution de code à distance non authentifiée. • Nature de la vulnérabilité : désérialisation de données non fiables (CWE-502) au sein du mécanisme RPC server$, ouvrant la voie à l’exécution de code arbitraire sur le serveur via une seule requête HTTP. L’impact sur le système vulnérable est évalué élevé en confidentialité, intégrité et disponibilité. ...

Selon HawkTrace, une faille critique CVE-2025-59287 affecte Microsoft Windows Server Update Services (WSUS), permettant une exécution de code à distance non authentifiée avec privilèges SYSTEM via la désérialisation non sécurisée d’objets AuthorizationCookie. ⚠️ Impact principal: exécution de code à distance (RCE) non authentifiée conduisant à une compromission complète du système. Le problème réside dans le flux GetCookie() où des données de cookie chiffrées sont décryptées (AES-128-CBC) puis désérialisées via BinaryFormatter sans contrôle strict de type. ...

Source: watchTowr Labs publie une analyse technique de CVE-2025-10035 affectant Fortra GoAnywhere MFT, basée sur l’avis FI-2025-012 (18 septembre) et un diff de correctif, avec un regard critique sur la sévérité CVSS 10 et des indices d’exploitation. • Contexte et produit concerné: Fortra GoAnywhere MFT, une solution d’EFT/MFT largement déployée (plus de 20 000 instances exposées). L’historique rappelle CVE-2023-0669 exploité par le groupe cl0p. L’avis FI-2025-012 décrit une désérialisation dans le License Response Servlet menant potentiellement à une exécution de commande et précise des éléments d’« Am I Impacted? » avec traces à rechercher. ...